-
-
[原创] 逆向并提取QQ截图--基本功能
-
发表于: 2022-1-19 19:23
-
QQ截图是我用过的最好用的截图工具, 由于基本不在电脑上登QQ了, 于是就想将其提取出独立版
目前除了屏幕录制功能其他都逆出来了, 在此分享一下, 源码见附件, 成品太大了放网盘了
链接:https://pan.baidu.com/s/1yENiFF3KDdZTDfqig6X98A
提取码:oa7c
(其他功能的效果展示请移步下一个帖子 逆向并提取QQ截图--OCR和其他功能)
版本: QQ 9.5.4.28063
网上搜一搜就知道QQ历年版本的截图功能都放在了Camera.dll里, IDA打开Camera.dll看一下导出表:
(图 2-1)
大概率是通过COM组件的方式去调用截图功能, 那么必然会去调用CoCreateInstance获取类的实例, 但是在CoCreateInstance下断是断不下来的, 后面可以知道QQ在Common.dll中自己实现了CoCreateInstance函数, 也就是无注册表的COM调用
CoCreateInstance的内部实现是这样的:
无论如何都会调用DllGetClassObject获取类厂指针
于是在Camera的DllGetClassObject下断看一下调用栈:
(图2-2)
显然截图的命令是被asynctask异步分发过来的, 那么appframework模块可能就是调用源头了
基址:camera=67CA0000, common=71860000, appframework=6BE40000
看到common.7183713那个调用栈函数, IDA分析一下:
(图 3-1)
动态调试一下就是知道这个函数就是QQ自己实现的CoCreateInstance
common.719DB0A9:
(图 3-2)
一直分析到appframework.68EEE54A:
(图 3-3)
所以直接call (AppFramework+AE46D)函数(也就是图3-3), 就可以调用截图了, 当然应该也可以去调图3-2中的v33(v21, v25, v4, v20), 但是调appframework的话, 一些初始化啊, 析构的方法就不需要我们去操心再模拟调用了
我采用的方式是模拟整个(AppFramework+AE46D)函数, 当然直接call应该也可以, 但是我一开始直接call的时候发现sub_5081B982(&v17)那个函数总是返回NULL, 下面自然也就不会执行了, 后来才发现需要初始化PlatformCore
在逆向过程中经常会发现程序会去调用类似下图的代码:
(图 4-1)
看一下Common.dll的导出表:
(图 4-2)
因为几乎所有函数的调用栈都会经HummerEngine.dll所以去这个dll里看了看, 还真就发现了初始化过程:
(图 4-3)
直接仿着反编译结果写一份!:
这样跑其实还是会崩溃, 调试一下发现需要SetMainAndLogicThreadId, 还是模拟一下:
其实还是直接仿着(AppFramework+AE46D)函数的反编译结果写一份就好了, 贴一下部分代码:
保存图片的时候会崩溃掉, 逆向调试一下发现, 是在保存的时候:
大概是v50+1388那里, 猜测一下这个函数是用来写入上次保存文件路径的, 直接patch掉好了
还有程序退出的时候也会崩溃, 我进行了这样的处理:
就是让调用Util::CoreCenter::IsStopped()的时候返回TRUE
这个markdown的图片都是用提取出来QQScreenShot截图的, 也没发现内存泄漏
CoCreateInstance(....) { //.......
IClassFactory *pClassFactory=NULL;
//↓内部调用DllGetClassObject
CoGetClassObject(CLSID_Object, CLSCTX_INPROC_SERVER, NULL, IID_IClassFactory, (void **)&pClassFactory);
pClassFactory->CreateInstance(NULL, IID_IUnknown, (void**)&pUnk);
pClassFactory->Release();
//........
}CoCreateInstance(....) { //.......
IClassFactory *pClassFactory=NULL;
//↓内部调用DllGetClassObject
CoGetClassObject(CLSID_Object, CLSCTX_INPROC_SERVER, NULL, IID_IClassFactory, (void **)&pClassFactory);
pClassFactory->CreateInstance(NULL, IID_IUnknown, (void**)&pUnk);
pClassFactory->Release();
//........
}typedef long (WINAPI *LPFN_Util_Com_CreateObjectFromDllFile)(wchar_t const *, struct _GUID const &, struct _GUID const &, void * *, struct IUnknown *);
typedef int (__cdecl *LPFN_Util_CoreCenter_InitPlatform)(wchar_t *);
typedef int (__cdecl *LPFN_Util_Boot_InitPlatformI18NConfig)(void);
HRESULT res = 0;
LPFN_Util_Com_CreateObjectFromDllFile lpfnCreateObjectFromDllFile = (LPFN_Util_Com_CreateObjectFromDllFile)CommonMgr.GetFuncAddr("?CreateObjectFromDllFile@Com@Util@@YGJPB_WABU_GUID@@1PAPAXPAUIUnknown@@@Z");
res = lpfnCreateObjectFromDllFile(L"Common.dll", CLSID_Common_Init, IID_ICommon_Init, (void**)(&testPtr), NULL);
LPFN_Util_Boot_InitPlatformI18NConfig lpfnInitPlatformI18NConfig = (LPFN_Util_Boot_InitPlatformI18NConfig)CommonMgr.GetFuncAddr("?InitPlatformI18NConfig@Boot@Util@@YAHXZ");
res = lpfnInitPlatformI18NConfig();
LPFN_Util_Boot_InitPlatformFileSystem lpfnInitPlatformFileSystem = (LPFN_Util_Boot_InitPlatformFileSystem)CommonMgr.GetFuncAddr("?InitPlatformFileSystem@Boot@Util@@YAHXZ");
res = lpfnInitPlatformFileSystem();
//...
//完整代码见附件
typedef long (WINAPI *LPFN_Util_Com_CreateObjectFromDllFile)(wchar_t const *, struct _GUID const &, struct _GUID const &, void * *, struct IUnknown *);
typedef int (__cdecl *LPFN_Util_CoreCenter_InitPlatform)(wchar_t *);
typedef int (__cdecl *LPFN_Util_Boot_InitPlatformI18NConfig)(void);
HRESULT res = 0;
LPFN_Util_Com_CreateObjectFromDllFile lpfnCreateObjectFromDllFile = (LPFN_Util_Com_CreateObjectFromDllFile)CommonMgr.GetFuncAddr("?CreateObjectFromDllFile@Com@Util@@YGJPB_WABU_GUID@@1PAPAXPAUIUnknown@@@Z");
res = lpfnCreateObjectFromDllFile(L"Common.dll", CLSID_Common_Init, IID_ICommon_Init, (void**)(&testPtr), NULL);
LPFN_Util_Boot_InitPlatformI18NConfig lpfnInitPlatformI18NConfig = (LPFN_Util_Boot_InitPlatformI18NConfig)CommonMgr.GetFuncAddr("?InitPlatformI18NConfig@Boot@Util@@YAHXZ");
res = lpfnInitPlatformI18NConfig();
LPFN_Util_Boot_InitPlatformFileSystem lpfnInitPlatformFileSystem = (LPFN_Util_Boot_InitPlatformFileSystem)CommonMgr.GetFuncAddr("?InitPlatformFileSystem@Boot@Util@@YAHXZ");
res = lpfnInitPlatformFileSystem();
//...
//完整代码见附件
/**
* @brief 设置主线程和逻辑线程ID
*/
void InitMainAndLogicThreadId(){ LPFN_Util_Misc_SetMainAndLogicThreadId
lpfnSetMainAndLogicThreadId = (LPFN_Util_Misc_SetMainAndLogicThreadId)CommonMgr.GetFuncAddr("?SetMainAndLogicThreadId@Misc@Util@@YAXKK@Z");
lpfnSetMainAndLogicThreadId(GetCurrentThreadId(), 0);
}/**
* @brief 设置主线程和逻辑线程ID
*/
void InitMainAndLogicThreadId(){ LPFN_Util_Misc_SetMainAndLogicThreadId
lpfnSetMainAndLogicThreadId = (LPFN_Util_Misc_SetMainAndLogicThreadId)CommonMgr.GetFuncAddr("?SetMainAndLogicThreadId@Misc@Util@@YAXKK@Z");
[招生]科锐逆向工程师培训(2024年11月15日实地,远程教学同时开班, 第51期)
|
|
|---|---|
|
|
|
|
|
能把QQ的图片OCR识别提取出来吗
|
|
|
|
|
|
那怕不是有点困难哦,服务端那边肯定会有校验的 
|
|
|
|
|
|
|
|
|
好主意哦!, 有空试试 |
|
|
|
|
|
这东西都不需要逆向,直接对QQ发起的连接进行分析就会发现,它调用了服务端,同时带了QQ的身份信息,单独扣出来没用。 |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
一直在用QQ的截屏工具,为老大点赞,试用了,矩形等工具不会默认取上次的选项(如边框粗细,颜色等),每次得重新选择,希望能优化解决,感觉
|
|
|
|
|
|
直接用CIMAGE更快 |
|
|
|
|
|
|
|
|
你这个是独立的吗,必须要使用搜狗的输入法,才能使用吧 |
|
|
|
|
|
独立组件!下载最新版搜狗拼音,用7z打开直接提取这两个文件即可使用。 |
|
|
|
|
|
|
0346954
